Κακόβουλο λογισμικό CR4T
Κυβερνητικά ιδρύματα σε όλη τη Μέση Ανατολή έχουν γίνει στόχοι μιας επιχείρησης κρυφής επίθεσης με στόχο να διεισδύσουν στα συστήματά τους με μια άγνωστη μέχρι τότε κερκόπορτα γνωστή ως CR4T. Οι ειδικοί στον τομέα της κυβερνοασφάλειας παρατήρησαν για πρώτη φορά αυτή τη δραστηριότητα τον Φεβρουάριο του 2024, αλλά τα στοιχεία δείχνουν ότι θα μπορούσε να είχε ξεκινήσει ήδη από ένα χρόνο πριν. Η λειτουργία παρακολουθείται ως DuneQuixote. Οι δράστες έχουν καταβάλει κάθε δυνατή προσπάθεια για να αποτρέψουν τον εντοπισμό και την εξέταση των κακόβουλων εμφυτευμάτων τους, χρησιμοποιώντας εξελιγμένες τεχνικές αποφυγής τόσο στις επικοινωνίες του δικτύου τους όσο και στο σχεδιασμό του ίδιου του κακόβουλου λογισμικού.
Το αρχικό στάδιο της αλυσίδας επίθεσης DuneQuixote
Η επίθεση ξεκινά με ένα dropper, διαθέσιμο σε δύο παραλλαγές: ένα τυπικό dropper, είτε σε εκτελέσιμη μορφή είτε σε μορφή DLL, και ένα χειραγωγημένο αρχείο εγκατάστασης για το νόμιμο εργαλείο, Total Commander. Ανεξάρτητα από την παραλλαγή, ο πρωταρχικός στόχος του σταγονόμετρου παραμένει συνεπής: η εξαγωγή μιας κρυπτογραφημένης διεύθυνσης Command-and-Control (C2), χρησιμοποιώντας μια καινοτόμο τεχνική αποκρυπτογράφησης για την προστασία της διεύθυνσης διακομιστή από αυτοματοποιημένα εργαλεία ανάλυσης κακόβουλου λογισμικού.
Αυτή η μέθοδος περιλαμβάνει την απόκτηση του ονόματος αρχείου του σταγονόμετρου και τη σύνδεσή του με ένα από τα πολλά προκαθορισμένα αποσπάσματα από ισπανικά ποιήματα που είναι ενσωματωμένα στον κώδικα του σταγονόμετρου. Στη συνέχεια, το κακόβουλο λογισμικό υπολογίζει τον κατακερματισμό MD5 της συνδυασμένης συμβολοσειράς, η οποία χρησιμεύει ως κλειδί αποκρυπτογράφησης για τη διεύθυνση διακομιστή C2.
Μόλις αποκρυπτογραφηθεί, το σταγονόμετρο δημιουργεί συνδέσεις με τον διακομιστή C2, προχωρώντας στη λήψη ενός επόμενου ωφέλιμου φορτίου ενώ παρέχει ένα αναγνωριστικό με σκληρό κώδικα ως συμβολοσειρά User-Agent στο αίτημα HTTP.
Η πρόσβαση στο ωφέλιμο φορτίο είναι περιορισμένη εκτός εάν παρέχεται ο σωστός πράκτορας χρήστη. Επιπλέον, φαίνεται ότι το ωφέλιμο φορτίο μπορεί να ανακτηθεί μόνο μία φορά ανά στόχο ή για περιορισμένο χρονικό διάστημα μετά την ανάπτυξη ενός δείγματος κακόβουλου λογισμικού στη φύση.
Αντίθετα, το πρόγραμμα εγκατάστασης Total Commander παρουσιάζει πολλές αποκλίσεις, ενώ διατηρεί τη βασική λειτουργικότητα του αρχικού σταγονόμετρου. Καταργεί τις ισπανικές χορδές ποιημάτων και εισάγει πρόσθετα μέτρα κατά της ανάλυσης. Αυτοί οι έλεγχοι αποτρέπουν τη σύνδεση με τον διακομιστή C2 εάν το σύστημα εντοπίσει ένα εργαλείο εντοπισμού σφαλμάτων ή παρακολούθησης, εάν ο δρομέας παραμένει ακίνητος πέρα από μια καθορισμένη διάρκεια, εάν η διαθέσιμη μνήμη RAM είναι μικρότερη από 8 GB ή εάν η χωρητικότητα του δίσκου πέσει κάτω από 40 GB.
Το κακόβουλο λογισμικό CR4T επιτρέπει στους εισβολείς να εκτελούν εντολές στα μολυσμένα συστήματα
Το CR4T ('CR4T.pdb') είναι ένα εμφύτευμα μόνο για μνήμη γραμμένο σε C/C++. Παρέχει στους εισβολείς πρόσβαση σε μια κονσόλα γραμμής εντολών για την εκτέλεση εντολών στο παραβιασμένο σύστημα, την εκτέλεση λειτουργιών αρχείων και τη μεταφορά αρχείων προς και από τον διακομιστή C2. Επιπλέον, οι ερευνητές ανακάλυψαν μια έκδοση Golang του CR4T με παρόμοιες λειτουργίες, συμπεριλαμβανομένης της εκτέλεσης αυθαίρετων εντολών και της δημιουργίας προγραμματισμένων εργασιών χρησιμοποιώντας τη βιβλιοθήκη Go-ole.
Επιπλέον, η κερκόπορτα Golang CR4T υλοποιεί την επιμονή μέσω της πειρατείας αντικειμένων COM και χρησιμοποιεί το Telegram API για επικοινωνίες C2. Η εμφάνιση της παραλλαγής Golang δείχνει ότι οι άγνωστοι παράγοντες απειλών πίσω από την εκστρατεία DuneQuixote βελτιώνουν ενεργά τις τακτικές τους με κακόβουλο λογισμικό πολλαπλών πλατφορμών.
Η πρωτοβουλία «DuneQuixote» εστιάζει σε οντότητες στη Μέση Ανατολή, χρησιμοποιώντας μια ποικιλία εργαλείων που στοχεύουν στη μυστικότητα και την επιμονή. Οι επιτιθέμενοι επιδεικνύουν προηγμένες δυνατότητες και τεχνικές αποφυγής με την ανάπτυξη εμφυτευμάτων και σταγονόμετρων μόνο για μνήμη, μεταμφιεσμένα ως νόμιμο λογισμικό, όπως μίμηση του προγράμματος εγκατάστασης Total Commander.
